Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

LastPass raadt na nieuw lek aan sites direct vanuit de Vault te openen

Door , 133 reacties, submitter: EnigmA-X

LastPass dicht een nieuw aangetroffen lek in zijn browserextensie. Het bedrijf raadt in aanloop naar het oplossen van het probleem aan om opgeslagen sites direct vanuit de lokaal opgeslagen LastPass Vault te openen en niet via autofill. Het lek is gevonden door een Google-onderzoeker.

De LastPass-extensie maakt het mogelijk wachtwoorden automatisch in te vullen bij verschillende diensten, maar LastPass raadt af dit te doen totdat een kwetsbaarheid in de code verholpen is. Gebruikers dienen in te loggen door naar de Vault te gaan en daar op de sites te klikken waar ze willen inloggen. Volgens de dienst is dit de veiligste manier. Autofill is uit te schakelen via de optie Automatically fill log-in information bij de voorkeuren.

Google-beveiligingsonderzoeker Tavis Ormandy maakte afgelopen weekend al bekend een kwetsbaarheid te hebben aangetroffen waarmee hij code kon uitvoeren binnen LastPass 4.1.43. Hij wist een exploit te ontwikkelen en verstrekte de details aan LastPass, die op zijn blog meldt eraan te werken om de kwetsbaarheid te dichten. LastPast raadt verder het gebruik van tweetrapsauthenticatie aan bij elke dienst die deze optie biedt en waarschuwt gebruikers ervoor alert te zijn op phishingaanvallen.

Het is het zoveelste LastPass-lek in korte tijd die Googles Project Zero-medewerker Ormandy aandraagt. De dienst voor wachtwoordenbeheer reageert meestal snel op zijn meldingen.

Reacties (133)

Wijzig sortering
Wel jammer eigenlijk.

Je hebt hier een bedrijf dat snel en op een goeie manier reageert op bugs en toch krijgen mensen hier een slecht gevoel door.

Persoonlijk ben ik blij dat er 'experts' zijn die goed op zoek gaan naar bugs en deze melden. We hebben hier in ieder geval transparantie.

Het lijkt me niet dat als je niets hoort over bugs dat ze er niet zijn.
Vanuit mijn kant begin ik Lastpass wel meer de waarderen.
"Snel en op een goeie manier"...
Ik ga mee met 'snel'. De goeie manier? Weet ik niet precies. Zie deze post:
PostHEX in 'nieuws: LastPass raadt na nieuw lek aan sites direct vanuit de Va..., en de tweet daarin.
Simpelweg: om dit probleem GOED op te lossen moet het pakket vanaf de grond af opnieuw worden geschreven. Er zit een lek in de architectuur. Iedere patch is een pleister, en als je het lek kent, kun je alsnog langs die pleister komen.

Het is aardig dat je waardering kunt opbrengen voor de snelheid waarmee Lastpass pleisters weet te maken en te verstrekken aan haar gebruikers. Ik persoonlijk hoop dat ze ondertussen (veel) meer mankracht hebben zitten op een compleet nieuwe versie, dan op patchbeheer. En vooralsnog voel ik me gesterkt in mijn keuze voor een passwordmanager die niet via internet werkt... dan maar 'klooien' met een database op een (eigen) netwerk-locatie.
> Simpelweg: om dit probleem GOED op te lossen moet het pakket vanaf de grond af opnieuw
> worden geschreven. Er zit een lek in de architectuur. Iedere patch is een pleister, en als je het
> lek kent, kun je alsnog langs die pleister komen.

Het is schrikbarend dat er door n researcher, in zijn vrije tijd/het weekend steeds bugs worden gevonden in lastpass. Als je de pleister kent kom je misschien niet om het probleem heen.

Maat het is tekenend voor problemen met de gehele architectuur van Lastpass. En dit gaat dan alleen om de browser plugin. Andere potentile zwakheden waar ik nog geen publiek werk over heb gevonden vind ik net zo zorgwekkend (e.g. 2-factor dat "uit" kan bij een expired account & in sommige browsers niet hoeft).

> En vooralsnog voel ik me gesterkt in mijn keuze voor een passwordmanager die niet via
> internet werkt... dan maar 'klooien' met een database op een (eigen) netwerk-locatie.

Een password manager die via de browser werkt is niet intrinsiek onveilig. Maar in de huidige situatie heb je twee problemen:
  • Het invullen van een wachtwoord wordt gestart via een interactie in de pagina. Hierbij weet een gebruiker nooit zeker of de UI van de password manager is
  • Autofill, wat erg makkelijk is, werkt intrinsiek op een onveilige manier. Als je ongeveer een domein + URL matched en daarna de login in een "bekend" stuk HTML invult is dat erg kwetsbaar
...Niet dat deze issues nu van toepassing zijn. Ik ben echt verbaasd hoe de huidige bug naar code execution leidt en ik verwonder mij hoe autofill uitzetten dit mitigeert.
Ja, ware het niet dat dit niet zomaar een researcher is... Tavis is bijzonder kundig en, mijns inziens, zou elke leverancier waar Tavis zijn aandacht op richt zich "zorgen" moeten maken.
Tavis is extreem kundig en kiest alleen bij echt kritische issues voor een publieke waarschuwing. In dit geval en bij de recente cloudflare bug die hij publiceerde vind ik dat terecht.

De gemiddelde security specialist zal issues die hij vind niet vinden en mogelijk zelfs als intutie hebben dat "zo'n bug niet kan".

Ik besef mij echter dat een team van onderzoekers van een nation state actor zulke issues ook kan/zal vinden. En daar schrik ik van :)
Een password manager die via de browser werkt is niet intrinsiek onveilig.
toch zijn er zeker redenen die je kunt geven waarom browser-based password managers minder veilig zijn:
"When you use a browser extension password manager, you give attackers an API to interact with your password manager via JavaScript or the DOM. That's how LostPass worked, and it's how many of the new attacks work, too. Desktop-based password managers have no such access, as they require compromising the local machine first, which is much harder than visiting a webpage."
http://www.networkworld.c...r-browser-extensions.html
Daar ben ik mij bewust van :). Daarom noemde ik die twee beperkingen.

Als je de password manager niet meer in de DOM integreert maar als losse extensie/"app" draait in een browser dan vallen de meeste voordelen n de aanvallen via DOM/Javascript weg.

Maar goed, als je dat doet dan heb je feitelijk een Electron app, waarbij je de updates laat doen via het Chrome extension mechanisme ipv dat je dit zelf moet regelen :)

Eigenlijk een Chrome app dus, maar de support daarvan stopt helaas binnenkort :(
En vooralsnog voel ik me gesterkt in mijn keuze voor een passwordmanager die niet via internet werkt... dan maar 'klooien' met een database op een (eigen) netwerk-locatie.
Dat heeft niets met dit probleem te maken... Het is geen issue op hun servers...
Het is inderdaad jammer, maar dit was voor mij wel de virtuele druppel en ben nu weer over gegaan op een alternatief. Want er komen naar mijn idee te vaak bug meldingen in het nieuws over LastPass als je het vergelijkt met bijv. 1Password.

Ik begin mij dan ook af te vragen hoe veilig dit product echt is. Zeker omdat je hier je wachtwoorden veilig in wil bewaren. Wat voor de meeste hier toch echt belangrijk is. Overigens moet ik wel zeggen dat je van 1Password vrijwel niks hoort, maar dat kan ook zowel positief als negatief zijn.
1Password is natuurlijk niet vrij van bugs, zoals elke software. Zie: https://bugs.chromium.org...zero/issues/detail?id=888.

1Password heeft tenminste een bug bounty programma dat enige vertrouwen wekt. Althans hun hoogste beloning van 100k: https://blog.agilebits.co...oughts-100000-top-bounty/.

Wat mij echter stoort aan 1Password is in hun consumenten producten het gebrek aan 2FA. 1Password Teams ondersteunt het aanbod van DUO Security. Begrijp niet waarom de consumenten producten het nog niet hebben. Om deze reden is voor mij de enige betaalde kluis Dashlane (ben aan het testen op dit moment), en KeePass als enige gratis optie. De rest heb ik totaal geen interesse naar. Zijn te klein om mijn vertrouwen te wekken en tijd te kunnen vragen. Maar zodra 1Password 2FA aan gaat bieden, is dat een serieuze kandidaat.
Ik ben het deels met je eens dat 2FA voor 1Password belangrijk is. Je hebt met 1Password je "Security key" en je wachtwoord. Zonder een van deze twee kan je helemaal niks met je wachtwoord kluizen. Dit is overigens wat ze zelf aangeven.

If you’re familiar with two-factor authentication (2FA), you already know the benefits of having a second factor in addition to your password. Your Secret Key can be thought of as a second factor, but unlike most 2FA systems, it is a true encryption factor. This makes it much stronger than 2FA systems which rely solely on authentication.

Your Secret Key isn’t sent to you from an authentication server, so it can’t be reset, intercepted, or evaded. It encrypts your data before your devices send any data over the Internet.

We call this approach to multiple factors Two-Secret Key Derivation.
Als ik het goed begrijp hebben ze eenzelfde aanpak als KeePass met de Key File. Wat in feite dus is [iets dat je weet]+[iets dat je bezit] =encryption key. Dat kan ik waarderen, maar als je al een goede encryptie key hebt d.m.v. een (zeer) goed wachtwoord, waarom dan nog meer er bovenop doen? Eerder zie ik liever 2FA voor de client, zodat voordat iemand wilt gaan brute force-en, men eerst de client met de kluis erin moet ontgrendelen. In kluis in een kluis als het ware. Dus als men iets potentieel zou onderscheppen tijdens authenticatie, dan hebben ze nog steeds het wachtwoord nodig.
De consumenten- (betaalde) versie van 1password heeft 2FA.

Zie hier voor een uitleg, de schermen zien er iets anders uit maar het principe is hetzelfde: https://support.1password.com/one-time-passwords/
Of ik mis iets, maar dat gaat volgens mij toch echt over 2FA voor websites, en niet 2FA voor 1Password zelf. In de video zie je dat 1Password als een TOTP generator wordt gebruikt. Een Google Authenticator vervanger, als het ware. Ik had het over 2FA om je 1Password client of account te helpen beveiligen.

[Reactie gewijzigd door PostHEX op 27 maart 2017 17:59]

Oh, jij bedoelde 2FA om de kluis te openen, sorry, dat heb ik dan gemist ben ik bang, excuus :)
Ik denk dat een groot deel van de mensen die hier een slecht gevoel over hebben dat eerder ook al hadden. Er zijn genoeg mensen (waaronder mijzelf) die password managers de slechtste vorm van veiligheid ooit vinden.

Ik bedoel, ik snap helemaal dat het lekker makkelijk is, maar als je even realistisch nadenkt ben je met een password manager niet veiliger dan dat je bent als je overal hetzelfde wachtwoord zou gebruiken, uiteindelijk is het namelijk toch zo dat al je logins onder 1 wachtwoord hangen, je hebt het alleen maar makkelijker gemaakt voor een hacker door al je wachtwoorden bij elkaar te verzamelen.
Deels waar maar als ik jou login en wachtwoord heb kom ik overal in.
Als je mijn lastpass login gegevens hebt kan je nog niets. Ten eerst wordt je simpelweg geblokkeerd als je niet in Nederland woont en ten tweede heb ik nog OTP aan staan.
Maarja, dat ben jij/dat is lastpass, er zijn genoeg mensen/password managers die het minder goed regelen. (nogmaals, verder weinig bezwaar dat jij/anderen dit soort software wel fijn vinden, alleen in mijn ogen echt 'not done')

En ik gebruik natuurlijk niet overal hetzelfde wachtwoord, we zitten hier wel op Tweakers he ;)
Hoe meer ik over Lastpass te weten kom, hoe meer ik ze ga haten (ben op dit moment nog gebruiker, maar dat duurt niet lang meer).

Bug bounty is overigens $50 - $2,500 per bug voor een wachtwoordkluis (https://bugcrowd.com/lastpass). Neem de tijd om dat te laten bezinken.

Edit: officile Lastpass security pagina naar die bugcrowd link hierboven (voor de gene die het niet geloven): https://lastpass.com/enterprise/security/

[Reactie gewijzigd door PostHEX op 27 maart 2017 16:16]

Hoe meer ik over Lastpass te weten kom, hoe meer ik ze ga haten (ben op dit moment nog gebruiker,
Je zou denken dat iemand die een bepaald software product 'haat' dat meteen nooit meer zou gebruiken. Wat is de overtreffende trap van haten?
Ik geef de schuld aan mijn uitstelgedrag. :)
Naar mijn mening moeten ze die hele autofill er gewoon uit halen.

Dit is nu de derde of vierde keer dat er een lek wordt gevonden in LastPass en elke keer weer is het de autofill die de problemen veroorzaakt.

Haal dat er uit, en maak mensen zelf verantwoordelijk waar ze hun wachtwoorden invullen.
Ik heb het in ieder geval in de instellingen uitgezet.

Vind wel dat in ieder geval de Firefox extensie niet heel veel vertrouwen wekt: sommige instellingen kan je niet wijzigen (wordt niet opgeslagen), en in Nightly werkt de detectie van nieuwe accounts voor geen meter (zorgt voor een soort oneindige loop), en dat gewoon helemaal uitzetten lijkt niet te gaan.

[Reactie gewijzigd door Mitsuko op 27 maart 2017 21:30]

Wel jammer, maar gewoon een kwestie van tijd dat dit soort dingen gebeuren natuurlijk.

En daarom voor mij persoonlijk: een dikke 'nee' tegen dit soort programma's. Ik hou mijn wachtwoorden wel op mijn eigen risico in mijn eigen beheer.
Op zich erg dat er zoveel lekken naar voren komen in lastpass. Echter geloof ik wel dat straks lastpass een van de veiligere is door het oplossen van al deze lekken
Het lijkt erop alsof er een soort onofficile audit door Google op LastPass wordt uitgevoerd. Er worden door Google een hoop resources gezet op het vinden van kwetsbaarheden. Dit is al de derde in vrij korte tijd.
Ik denk dat LastPass hierdoor alleen maar beter wordt.
Die indruk zou je haast krijgen. Ik denk ook dat Lastpass er alleen maar beter van wordt. De vraag bij dit soort password managers is natuurlijk nooit of het 100% veilig is, dat zal het wel nooit zijn. De vraag is of het veiliger is dan alternatieven:
  • Ergens een briefje in huis.
  • Overal (+/-) hetzelfde wachtwoord gebruiken
  • Een alternatieve password manager, misschien met offline opslag
Het is denkbaar dat een briefje in huis een van de veiligste opties is, mits je het briefje niet op je monitor plakt. Je hoeft in ieder geval geen password software te vertrouwen. Je weet wanneer je risico loopt, want dan is er in je huis ingebroken. De kans dat een inbreker op een willekeurige pagina in een onopvallend notitieblokje gaat zoeken naar wachtwoorden, is bovendien vrij gering. Het scoort alleen niet zo goed op gebruikersvriendelijkheid.

[Reactie gewijzigd door KopjeThee op 27 maart 2017 17:58]

Misschien een overname? Wat is anders de reden om de resources in te zetten
Een overname heb ik ook even aan gedacht. Maar dan zou ik eerder verwachten dat ze dit tijdens het overnameprocess zouden doen, om de prijs te drukken. Niet eerst sterker maken en dan pas overnemen.

Google kan meer geld verdienen wanneer internetters zich veiliger voelen op internet. Een onveilig gevoel werkt ook veiligheidsmaatregelen als adblockers in de hand. En wanneer bekend wordt dat Google anderen helpt om hun software en diensten veiliger te maken is dat iedere keer weer een imago boost.
Ja en nee, misschien krabben ze zich bij Lastpass nu ook wel achter de oren of ze wel goed bezig zijn en niet onder de paraplu van een groter geheel met nog meer experts moeten gaan vallen. Misschien zijn ze dus eerder geneigd met minder poen voor hun toko akkoord te gaan.
Google heeft inderdaad enigszins recent een team opgezet die andere systemen onderzoekt en vervolgens responsible-disclosure uitoefent op de resultaten.
En ze lijken echt diep door te zoeken. Niet alleen maar even snel zoeken naar laaghangend fruit.
Ik gebruikte lang geen lastpass achtige dingen. Toen kwam ik erachter dat ik daardoor slechtere wachtwoorden gebruikte, dat human error waarschijnlijker was dan machine error.

Nu hoor je dat je al die tijd ontzettend te hacken was. Waar gaat dit dan nog over? Het is een schande dat software (blijkbaar) zo moeilijk veilig te schrijven is. Daar zou heel veel meer moeite aan besteed moeten worden. Wellicht tot gevangenisstraffen aan toe, want dit is gewoon letterlijk staatsgevaarlijk.

Maarja, iedereen doet maar alsof er niks aan de hand is. Kop terug het zand in. Rustig door lastpassen.
Gevangenisstraffen? Srsly?

Blijkbaar heb je echt nog nit van het begrip veiligheidscultuur gehoord. Het opleggen van straffen druist hier lijnrecht tegenin en zorgt juist voor onveiligheid, doordat mensen hun fouten niet durven toe te geven.
Blijkbaar heb je echt nog nit van het begrip veiligheidscultuur gehoord. Het opleggen van straffen druist hier lijnrecht tegenin en zorgt juist voor onveiligheid, doordat mensen hun fouten niet durven toe te geven.
En als je niets doet zijn er legio bedrijven voor wie beveiliging een ondergeschoven kindje is en zal blijven. Linksom of rechtsom; doodgezwegen of genegeerd, het eigenlijke probleem blijft bestaan.

Wat dat betreft is er eigenlijk maar n degelijke oplossing voor dit soort zaken; wettelijk afgedwongen verplichte audits waarbij herstel van gevonden fouten afgedwongen wordt middels dwangsommen.

Een soort APK keuring voor software, zeg maar.
APK voor software zou zeker een goed idee zijn!

Een keurmerk zou ik prettiger vinden: dan behoud je meer vrijheid. Helaas twijfel ik of mensen genoeg extra zouden betalen voor een software met keurmerk.

Er is echter een groot probleem: het is heel lastig om arbitraire code te valideren. Code moet geschreven worden met navolgbaarheid in gedachten, maar voor "echt veilig" is het doorgaans van essentie heel bijzonder te ontwerpen. Dit heeft veel te maken met sterke typessystemen, en "pure" functies, maw: hoogspecialistische dingen die helemaal niet perse leuk of handig zijn, behalve voor veiligheid.

Ik zie echt niet hoe we mensen ooit kunnen dwingen om (op gepaste momenten) over te gaan naar dergelijke veilige methodieken, zonder een groot en eng risico tegenover falen te zetten.
Ik heb inderdaad nog nooit van het begrip "veiligheidscultuur" gehoord. Ik zou denken dat veiligheid een functie is van je ontwikkelingsproces, niet van een cultureel onderbuikgevoel.

Het heeft inderdaad geen zin om mensen voor het toegeven van eigen fouten het gevang in te gooien. Meestal als iemand toegeeft, en schuld bekend, geef je ze dan ook een strafvermindering. Dat zou ik je niet uit hoeven leggen.

Het geval dat ik voor ogen heb is eerder zoals degene in dit artikel: een derde ontdekt een fout, ontvangt daarvoor een beloning, en de partij die software als veiliger presenteerde dan hij kon garanderen krijgt daarvoor een behoorlijke straf.

Boettes zijn niet effectief als bedrijven er veel aan verdienen. De strafmaat mag niet in het economisch spel verwikkelt zijn - slappe code, grote leugens, veel verdienen, beetje inleveren? Nee. Gewoon lekker een paar maanden om na te denken over hoe je volgende keer kan voorkomen mensen voor te liegen, en in een gevaarlijke situatie te brengen.

Deze logica wordt in sommige landen ook toegepast op architecten: als je een huis doorrekent en het stort op mensen, dan is dat doodslag.
@ GamingZeUs.... je reactie is op zoveel bijzonder, dat ik niet weet waarmee te starten.

Mensen maken fouten, dat voorkom je nooit.

Jouw suggestie van gevangenisstraffen op fouten kan 2 gevolgen hebben:
- niemand gaat programmeren;
- niemand meldt fouten;

In het eerste geval hebben we niets om de computers mee te bedienen, in het tweede geval enkel software met kritieke fouten.

Als we het doortrekken naar jou, hoeveel dagen zou het duren eer jij langdurig de cel in moet voor het maken van een foutje? (Zeg bewust foutje ipv fraude) Ik schat nog geen hele dag..... tenzij je geen werk verzet.... dan maak je immers geen foutjes.

Je kan beter beloningen uitdelen bij het vinden, oplossen en voorkomen van bugs.
Dit is software, geen mens. Software hoeft niet fout te zijn, en processen kunnen wel degelijk afdoende bestendiging bieden.

Ja, misschien kan dan ineens 90% van de software die er nu is niet bestaan, omdat het gewoon 10x zoveel moeite is om software daadwerkelijk goed te maken.

Je gaat geen programmeur zeggen "JE HEBT EEN FOUT GEMAAKT, GEVANG", je gaat een directeur zeggen "je bent onverantwoordelijk geweest, en daar tegenover staan bepaalde strafmaatregelen om te zorgen dat directeurs /wel/ die verantwoordelijkheid hebben".

Bugs zijn niet dingen die "er gewoon zijn". Dat is een dwaze houding - een houding die aangeeft dat je niet weet wat je aan het doen bent. En ja, dan kan je het mi beter niet doen.

Iig niet in applicaties waar veiligheid van enig belang is. Als een game crashed, ach, zelfs een webpage zit nog in een sandbox. Maar als je een password manager schrijft, een bankapplicatie, of zo'n sandbox, en die commercieel beschikbaar stelt, zeker als je de broncode niet beschikbaar stelt, dan mag je boette voor je wandaden.
Nu hoor je dat je al die tijd ontzettend te hacken was. Waar gaat dit dan nog over? Het is een schande dat software (blijkbaar) zo moeilijk veilig te schrijven is. Daar zou heel veel meer moeite aan besteed moeten worden. Wellicht tot gevangenisstraffen aan toe, want dit is gewoon letterlijk staatsgevaarlijk.
Wat is er mis met de doodstraf als we toch aan het roeptoeteren zijn?

En overigens waren alle hacks werkelijk niet bijzonder ernstig zoals jij denk dat ze waren. Het is slechts het feit dat het hier om een password tool gaat maakt het meer problematisch. Maar er is nog geen enkel bewijs dat de lekken gebruikt zijn.
Dat het buiten proportie is. Duh.

Het is netzogoed buiten proportie mensen weg te laten komen met het onverantwoord publiceren van software. Dat leidt tot de huidige situatie: iedereen denkt dat alles altijd te hacken valt. Dat is onzin. Dat is gewoon omdat het slechte geproduceerde software is.
GamingZeUs, ben jij programmeur van beroep?
Gewoon een vraag.

Ik ben geen programmeur maar ik test machines in de farmaceutische industrie.
Hoe goed en nauwkeurig ik dit ook doe, iemand anders zal gewoon een fout kunnen vinden.
Is dit raar? Nee, ik ben een mens en daarom controleren ze mij.

Zelf ook aan de kant van controleur gezeten... mijn ervaring is dat alles wat door mensen gemaakt is, bevat fouten.
Het gaat erom wat ermee gebeurt.
Ik studeer nu een master CS en AI aan de UvA. Niet geheel incorrect om dat "programmeur van beroep" te noemen. Het is best bedrijfleven-gericht.

Formal Validation etc. staat in de kinderschoenen omdat niemand het wil betalen. Maar bijvoorbeeld dit project: https://sel4.systems/, is zo bewezen als maar kan.

In de mediche industrie zijn doden gevallen door toedoen van incorrecte programmacode. Een helse race condition in de software liet bepaalde UI acties invloed hebben op de dosering straling bij stralingstherapie. Zie de THERAC-25 hier.

Het spijt me zo hard te zijn over fouten, maar dat is wat er op het spel staat. In privacy/wachtwoord gevallen gaat het over persoonlijke, staats en bedrijfsgeheimen. Zelfmoorden door gelekte naaktfoto's en datagijzelingen gebeuren door haast in nieuwe functionaliteit toevoegen.

Je kunt niet als niet programmeur fatsoenlijke software testing doen - je moet alle mogelijke executies van de software veilig kunnen bestempelen, na ze allen overwogen te hebben. Zoals wiskundige theorieen bewijzen, zo ook moet je software bewezen worden. En ja, dat is heel erg rotwerk. Het spijt me.
Ik denk dat er binnenkort het gerucht komt dat Google een overname bod zal plaatsen voor LastPass.

Is het niet volgende maand dan zeker wel voor het eind van dit jaar.
Ja, deze lekken zijn allemaal naar buiten gebracht door de onderzoeker die hier mee bezig is. Hij is eigenlijk gratis LastPass een security audit aan het geven, alleen dan brengt hij alle lekken ook gelijk naar buiten (zonder details, dat dan weer wel).

Je weet niet of andere password managers dit soort lekken ook gelijk naar buiten zouden brengen. Misschien hebben heeft een of andere concurrerende dienst ook wel een audit gehad maar dan van een ingehuurde onderzoeker die niks naar buiten brengt.

Aan de ene kant zal LastPass blij zijn dat hun dienst veiliger aan het worden is, maar ik denk dat het marketing gedeelte iets minder blij is met al deze negatieve aandacht.
Deze lekken worden naar buiten gebracht omdat deze onderzoeker direct publiek meld dat er een probleem is. Deze policy is imo te verdedigen bij een kritisch probleem (code execution) in een kritiek stuk software (zoals lastpass).

Ik was tot vandaag ook autofill gebruiken en ben blij met deze aandacht.

Het nadeel van dit soort disclosures tov een complete audit is dat dit lokale optimalisatie is ('fix de bug') ipv globale optimalisatie ('de architectuur moet anders'). Het voordeel van deze disclosures is dat Lastpass sneller de complete architectuur overhoop zal gooien wanneer het nodig blijkt.
Je weet inderdaad niet hoeveel lekken er zijn bij de andere pakketten die niet worden gemeld. De extensies blijken de zwakke schakel te zijn in het geheel.
Per tweet van Ormandy:
It will take a long time to fix this properly, it's a major architectural problem. They have 90 days, no need to scramble!
https://twitter.com/taviso/status/845718016520142848

"Een van de veiligere is door het oplossen van al deze lekken?" Are you kidding me!?! Ik ben een lang Lastpass gebruiker, maar ik ben sinds een maand alternatieven aan het testen. Deze kwetsbaarheid is ook geen kleintje, maar waarschijnlijk een van de als niet de grootste voor Lastpass. Dat ik begrijp is dit dus ook een architectuur probleem, wat zeer waarschijnlijk betekent dat het Lastpass team op fundamenteel niveau niet weet wat ze doen.

Ook is de bug bounty van Lastpass niet geruststellend (omdat het enorm laag is voor hoe gevoelig de data is).
Ik vond het inderdaad wel relevant i.v.m. het recente nieuws over absoluut belachelijke eis van de Britse regeringen tegen e2e encryptie.
wat is er mis met een text file, door pgp heen?
shoulderbrowsing. Een goeie passwordmanager beschermt je daar ook tegen door te zorgen dat je passwords nooit zichtbaar zijn. Autofill modules zorgen er bovendien voor dat deze niet in je clipboard terechtkomen. Deze risico's zijn waarschijnlijk groter dan de risico's die deze exploits introduceren.
Autofill modules zorgen er bovendien voor dat deze niet in je clipboard terechtkomen.
Hangt er vanaf hoe lang de passwords in dat clipboard blijven staan. In Keepass bijvoorbeeld, heb ik het zo kort ingesteld dat ik vaak zelfs nog haast moet maken omdat de betreffende schijf nog op gang moet komen.
Tja, als het een mens was die continue het clipboard in de gaten zou moeten houden, dan was dat wellicht een redelijke tegenmaatregel. Maar we hebben het hier over software die automatisch het clipboard uit leest bij een wijziging. Of hij er dan 10 ms of een uur op staat maakt niet heel veel meer uit.
Of hij er dan 10 ms of een uur op staat maakt niet heel veel meer uit.
Maar ik doe niet aan autofill. En voor handmatig sleur-en-pleur is het best handig.
Omdat dit wat makkelijker deelt met je collega's en daar de rechten kan instellen wie bij welke share mag?
Wat wat lastiger gaat met een text file.
Ik wil jou wel eens pgp zien uitleggen aan wat minder tech-savvy mensen, kijken of je het dan nog steeds zo handig lijkt.
ongetwijfeld - maar zitten hier op t.net, niet computeridee ofzo :+
Nu NuJIJ is gestopt, zijn er denkik veel "ik weet het beter!" mensen hier gekomen die alles weten. Vind dat Tweakers ook aardig veranderd is.
Vooral de topics op het forum, zowat altijd slechte TS's
Ik weet niet of je ook op mij doelt maar ik behoorlijk niet tot de groep die jij beschrijft. Ben lid sinds 2007.

Overigens valt het mij op dat juist de kwaliteit achteruit lijkt te gaan van de reacties. Zoals ook die himlims, niet doordacht of beargumenteerd.
Nee was niet op iemand bedoelt hier :) je hebt zeker gelijk dat de reacties er op achteruit zijn gegaan, Tweakers is heel veel veranderd.
Vooral bij de Android/Apple artikelen is het drama, waar dat vroeger niet zo was
Ik wist niet dat de doelgroep van LastPass bezoekers van t.net waren.

Los van bovenstaande noem ik een text file en pgp ook niet gebruiksvriendelijk. Dat moet als Tweaker toch slimmer kunnen?
Minder geordend. Ik deed dat vroeger ook,ook voor andere dingen, en ben nu begonnen om de laatste versleuteldetextfile in KeePass in te voeren. Dat is een stuk makkelijker te doorzoeken, ctrl-f werkt alleen als je de precieze formulering nog weet.
Had altijd wel vertrouwen in het feit dat een wachtwoordmanager meer veiligheid bood qua wachtwoordengebruik online. Dat doet het natuurlijk ook, omdat je sterkere en unieke wachtwoorden kan genereren en bewaren, maar als er het ene na het andere lek in diezelfde managers opduikt slaat de twijfel toch weer toe. Hopelijk leven we over een paar jaar in een wachtwoordloze wereld waarin we nieuwe, meer veilige manieren van authenticatie gebruiken. Tot dan is tweefactorauthenticatie de beste beveiliging.
Je bedoeld de tweefactorauthenticatie via SMS, waar iedereen die toegang heeft tot SS7 al je berichten/gesprekken mee kan luisteren en je locatie kan bepalen ?

https://www.theguardian.c...lity-snooping-texts-calls

https://en.wikipedia.org/wiki/Signalling_System_No._7

[Reactie gewijzigd door (id)init op 27 maart 2017 15:57]

Nee. Ben bekend met de risico's van 2-FA via SMS. Je hebt natuurlijk ook andere manieren.
... maar als er het ene na het andere lek in diezelfde managers opduikt slaat de twijfel toch weer toe.
Het lek zit volgens mij in de plugins en add-ons. Niet in de manager zelf.
Ik hoop het van harte niet. Password managers zijn veilig, auto-fill-plugins niet. Ik zou de password manager dan ook nooit koppelen aan mijn browser of welk ander programma dan ook.

Wachtwoorden zijn, mits juist toegepast, zeer veilig en zeer flexibel. 2FA voegt daar niet veel aan toe, dat beschermt vooral voor Human Error. Met een adequaat passwordbeleid heeft het niet zoveel meerwaarde.
Ik hou het er op dat een Excel bestand op een USB stickje het veiligste is. USB stick in de home-kluis, wie doet je wat? Hoef je je geen zorgen te maken of anderen wel goed zijn voor jouw beveiliging....
En als je er bij moet als je niet thuis bent?
Alleen zorgen dat je de USB altijd 'veilig' ontkoppelt anders kan je hem mogelijk corrupten, overigens is een Excel bestand lastiger om te openen en is afhankelijk van een programma, maar sowieso meerdere back-ups maken.
Overigens uitkijken voor ransomware die naar bestanden zoekt op bekende extensies en deze kan encrypten, dan heb je ook niks meer aan dat Excel bestand.
Heb de extensies maar gelijk verwijderd. Beetje jammer. Was jaren sceptisch over ww-managers, had het uiteindelijk een tijd geleden toch maar gedaan en dan sindsdien om de zoveel tijd zulke meldingen :|
Had niet anders kunnen verwachten natuurlijk :)

Edit: extensie verwijderd maar nog wel de vault in gebruik :)

[Reactie gewijzigd door mrdemc op 27 maart 2017 17:35]

Het is altijd beter dan maar n (of een paar) wachtwoord(en) hebben en dat een groot datalek zoals Yahoo, Adobe of XSplit je wachtwoord min of meer op straat gooien. Dat ze continu aan de veiligheid van hun product werken is een extreem goed teken ten opzichte van andere services waarbij men gelooft dat een MD5 hash met een vaste salt als "SuperGroeneEwrtenSoep" genoeg is. LastPass is juist een mooie tool om op iedere site een random wachtwoord aan te maken met een zelfingestelde lengte.

Ben benieuwd naar de post-mortem en wat het lek uiteindelijk was, maar ze doen vermoeden alsof je vrij creatief moet zijn om de bug gevonden te hebben.
Het is altijd beter dan maar n (of een paar) wachtwoord(en) hebben en dat een groot datalek zoals Yahoo, Adobe of XSplit je wachtwoord min of meer op straat gooien. Dat ze continu aan de veiligheid van hun product werken is een extreem goed teken ten opzichte van andere services waarbij men gelooft dat een MD5 hash met een vaste salt als "SuperGroeneEwrtenSoep" genoeg is. LastPass is juist een mooie tool om op iedere site een random wachtwoord aan te maken met een zelfingestelde lengte.

Ben benieuwd naar de post-mortem en wat het lek uiteindelijk was, maar ze doen vermoeden alsof je vrij creatief moet zijn om de bug gevonden te hebben.
Met dit soort berichten lijkt het juist er op dat ze reageren, in plaats van dat ze ontwikkelen.
Zonder dit soort 'tips' gaat de service denken datz e veilig zijn, en gebeurt er niets extra.
Nu MOETEN ze iets doen ( imho is het aanraden om vanuit de vault te werken niet DE oplossing )

Creatief, of met velen brainstormen over 'what if' en dat dan uitvoeren.
Ik krijg hier samen met een collega ook altijd de testversies voorgeschoteld om een tijdje te proberen, omdat de anderen zich binnen de lijntjes houden, die knop is niet voor mij, dus ik druk er niet op
* FreshMaker gaat dan zeker proberen WAT die knop dan doet, en waarom

( een manager over de zeik gekregen omdat ik zijn desktop omgedraaid had, geen bug, maar windows feature, maar omdat HIJ het niet kende, was er paniek en moest alles nagelopen worden )
Dat deed ik al maar dan onthield ik ze altijd. Dat was nog wel te doen, maar op een gegeven moment had ik er zover dat ik niet meer wist welke ik nu waarvoor gebruikte. En dan wordt t lastig :p dus dan is LastPass wel prettig. Gebruik t ook nog, maar dan zonder extensie :)
Wel als je allerlei tooltjes gaat toevoegen om t nog makkelijker te maken. Elke extensie of (third-party) scriptje is weer een nieuwe aanvalsvector. Als je t gewoon simpel, lokaal en handmatig houdt is er niets aan t handje,
Iedere keer dat dit soort lekken worden gevonden, wordt LastPass vanzelf een stukje veiliger. Het is maar hoe je het bekijkt.
Enigste zwakte is de browserextensie, de "Vault" zelf slaat alles door middel van encryptie in combinatie met je hoofdwachtwoord op. De extensie gaat door middel van je inloggegevens de data opvragen en vult deze in (puur gebruiksgemak). Daar zit een zwakte in, die vault zelf kan niemand ooit binnenkomen zonder jouw wachtwoord. Het blijft nog steeds veel veiliger dan handmatig opschrijven/onthouden. Je kan ook zonder extensie de LastPass desktop app gebruiken, dan moet je alleen je wachtwoorden handmatig kopieren wanneer je inlogt.
De extensie niet gebruiken, maar alleen de vault gebruiken is natuurlijk altijd veiliger. Dat gezegd hebbende: Het ergste wat er nu kan gebeuren is dat hackers achter het wachtwoord komen van n account op n website en dan alleen nog van LastPass extentie-users.
Dat staat tegenover wachtwoorden hergebruiken en n zo'n website-je wordt gehackt, dan liggen direct meerdere accounts op straat.

Al met al nog prima veilig. Helemaal omdat elk van deze berichten in de trant was van: "onderzoeker vond lek, gaf hem aan LastPass en het is inmiddels gefixt/tijdelijke fix"
Had niet anders kunnen verwachten natuurlijk :)
Kan je dat toelichten?
Omdat het een extensie betreft die binnen een andere applicatie draait en automatische interactie heeft met een externe webpagina. Als je element inspecteerd krijg je ook te zien dat de LastPass JS in de pagina zelf wordt geladen. Hoeft op zich niets te betekenen, maar elke software bevat bugs. En dat icm met voorgaande geeft een rele kans dat er een bug is die is te misbruiken op deze manier. Gebruik nu dus alleen de App op mobiel en de pagina zelf :) geen extensie meer.
Ga over op KeePass, alles in eigen beheer. Je kunt het zelf net zo veilig maken als je wilt.
Denk hierbij door de database in een veracrypt container te zetten en deze te splitten over verschillende locaties. You can go full paranoid on this one :+
Denk hierbij door de database in een veracrypt container te zetten en deze te splitten over verschillende locaties.
En het wachtwoord van de Veracryptcontainer in een andere Keepassdatabase in een andere Veracryptcontainer. En de bijbehorende keyfile in een derde Veracryptcontainer.
Maak mij gek.. ! :)
En alle aparte veracrypt containers gooi je in een een encrypted virtuele machine met daarop een veracrypt container. Ik wens je succes :D
Je moet niet alles met VC willen doen. Ik zet het hele zooitje op een partitie met Bitlocker. Maar waar heb ik nou het wachtwoord daarvan gelaten..
Stond die niet in je keepass? :+
Bij veracrypt kun je je eigen extensie kiezen al maak ik er een .blablabladitismijnextensie , en ooit gehoord van backups? :+

[Reactie gewijzigd door isene op 27 maart 2017 21:59]

Tuurlijk heb ik gehoord van back-ups, echter de massa doet er vaak niet genoeg aan, en wanen zich veilig, iets wat waarschijnlijk best kan gebeuren bij het grootste gedeelte van de gebruikers.
Ik schrik niet meer sinds ik al mijn wachtwoorden op dezelfde manier opsla.

1) je laat lastpass(of 1password) een wachtwoord genereren. Je slaat het op in hun cloud maar submit het nieuwe wachtwoord nog niet.
2) je typt er een keyword bij die makkelijk te onthouden is achter het (al opgeslagen) gegenereerde wachtwoord.
3) je slaat het aangepaste wachtwoord op de website.

Volgende keer als je de website bezoekt vult de dienst het opgeslagen wachtwoord in. Jij voegt jouw extra simpele keyword bij en logt in.

Als ooit de db van de diensten wordt gekraakt. Hebben ze nog steeds maar een gedeelte van het wachtwoord.

[Reactie gewijzigd door lf2 op 27 maart 2017 17:10]

Het is 'het wachtwoord'. ;)

Op zich wel een goed plan. Alleen wachtwoorden opslaan op een website, dat doe ik om veiligheidsredenen nooit.

// edit: -1?

Natuurlijk! Het is immers een flaimebait en een trol, om wachtwoorden vanwege veiligheidsredenen niet op te slaan in je browser. Dat is een heel domme actie en dat niet opslaan moet je vooral nooit doen. Gewoon altijd alles opslaan overal. [sarcasme off]

En een kleine tip geven over correct taalgebruik is ook not done, tog? 'De wachtwoord' en 'dezelfde wachtwoord' klinkt immers ook zo goed op een sollicitatie. Ik zie dat het inmiddels verbeterd is, dus er is wel wat mee gedaan, dus zo gek was het blijkbaar ook weer niet, minners.

[Reactie gewijzigd door Slingeraap2 op 27 maart 2017 20:05]

Het draait uiteindelijk erom dat je niet hetzelfde wachtwoord gebruikt op verschillende websites. (aangezien de website dus gekraakt kan worden en dan iedereen jouw wachtwoord heeft voor alle andere websites)
Daarom genereer je iets apart voor elke website. Maar hetgeen wat je genereert kan je niet onthouden dus heb je een dienst als lastpass nodig.

2factor is leuk maar je moet steeds iets anders erbij pakken.

Op deze manier tackle je eigenlijk alles:
  • Je hebt op geen enkele website hetzelfde wachtwoord.
  • De dienst heeft maar een gedeelte van al je wachtwoorden
  • Jij hoeft maar 1 wachtwoord te onthouden (de keyword die je steeds toevoegt)
( ik gebruik de website naam als keyword aan het einde met een uitroep teken )

mijn wachtwoord voor tweakers zou dus zijn %&*^%*&YUKFHFJSDtweakers!

[Reactie gewijzigd door lf2 op 27 maart 2017 17:13]

Ja, ik snap wel wat je doet., het was al duidelijk. :)

Ja, veel mensen doen de naam van de website op het eind achter hun standaard wachtwoord. Al dan niet met nog een uitroepteken, punt of apestaart op het eind. Maar da's een ander verhaal. Maar als je van Lastpass gebruik maakt, dan kan je net zo goed voor al je websites nog een zelfde twoordje er achter plakken, want wat Lastpass ervoor genereert, dat is toch al anders voor elke website. Maar goed...
Geeft maar weer eens aan dat een cloud opslag van alleen maar wachtwoorden zoals Lastpass heeft een veel te grote aantrekkingskracht heeft op hackers. Het is een grote honingpot waar ze als vliegen op af zwermen.

Het is veel slimmer om een algemene cloud dienst te gebruiken + eigen encryptie + een eigen password manager zoals bijvoorbeeld Keepass.
Nee hoor, gewoon een gevalletje hoge bomen vangen veel wind. Als iedereen keepass gaat gebruiken en dropbox dan worden dat de nieuwe targets :) Het probleem zit hem ook altijd in de browser plugins, dus ook al gebruik je een andere tool, men installeert toch vaak (ook met keepass) een tool die autofill verzorgt uit gemaakt en die is in dat geval net zo kwetsbaar als elk ander.
Ik heb liever dat ze het snel onderkennen en fixen dan dat er een hoop over gezeverd wordt. Maar zoals hier ook al genoemd zouden ze eigenlijk een functie moeten inbouwen zodat je in het geval dat er een lek met workaround bekend is een popup krijgt met de melding hiervan, of minimaal een email notificatie.
Niet met je eens. Lastpass is gewoonweg een veel te grote target geworden omdat het1. te populair is en 2. alleen maar wachtwoorden zijn. Ben je daar binnen, dan ben je de koning. Graaien maar.

Heel wat anders dan bij de vele andere cloud diensten. Daar kun je zelf tenminste je eigen encryptie instellen en ben je veel meer eigen baas.

Je hebt een goed punt over de browser plugins. Absoluut nooit gebruiken.

[Reactie gewijzigd door CR2032 op 27 maart 2017 22:07]

Dat klopt gewoon niet, zelfs al ben je binnen dan nog heb je enkel een database met hashes die ook nog gesalt zullen zijn. Immers gebeurt decryptie op de client. Dus zelfs al ga je er met iemands wachtwoord db vandoor met allemaal gegenereerde wachtwoorden van 20 stuks lang of meer succes die allemaal te gaan bruteforcen omdat rainbow tables hier geen soelaas gaan bieden...
Nee, 100% veiligheid bestaat niet, helaas. Met een man-in-the-middle aanval en de kwetsbare browser plugins is het zeker mogelijk.

Lastpass is een veel te populaire target geworden doordat het alleen maar grosseert in wachtwoorden en niets anders. Het is alleen nog een kwestie van wanneer die wordt gekraakt. Bijvoorbeeld door phishing. Lastpass waarschuwt er zelf ook voor.
https://lastpass.com/support.php?cmd=showfaq&id=10072
Misschien wel de veiligste manier, maar als het niet makkelijk gaat, dan gebeurd het niet.
Het lijkt eerder dat ze eigenlijk willen zeggen: "you're using it wrong"

Op deze manier jagen ze hun gebruikers wel weg, als het niet 'makkelijk' gaat, zal de gebruiker iets anders zoeken
Euhm, hoe veilig ben ik nu nog als lastpass en chrome gebruiker?

Ik vorige week t hoofdww veranderd en 2staps verificatie aangezet dmv gsm en android authenticator na aanleiding van de laatste hack.

Nu dit bericht weer.

Ik heb nu wederom mijn hoofdww veranderd en autofill uitgeschakeld en daarnaast log ik niet meer in op de extensie.

Hoe kom je er nu achter dat men idd je ww uit de klas heeft getroggeld? Moet ik nu alle ww die in de kluis staan aangaan passen? En, nogmaals hoe weet je nu dat je ww veilig zijn en nog niet te in handen zijn van derden?

Vind dit toch verdomd vervelend...
Of iemand je wachtwoord(en) inmiddels al heeft via dit lek dat weet je niet. Net als dat je ook niet weet of je PC of telefoon op dit moment gehackt is.

Je komt er pas achter als de betreffende persoon er ook daadwerkelijk misbruik van maakt. En zelfs dan is het nog geen garantie. Wie weet leest al jaren iemand stilletjes mee in je email... :)

Nu al je wachtwoorden gaan veranderen zou ik niet doen. Voor hetzelfde geld zitten er nog 1000 andere lekken in LastPass, of welke andere software je ook gebruikt, maar die niet publiek bekend zijn gemaakt.

Op dit item kan niet meer gereageerd worden.


Nintendo Switch Google Pixel XL 2 LG W7 Samsung Galaxy S8 Google Pixel 2 Sony Bravia A1 OLED Microsoft Xbox One X Apple iPhone 8

© 1998 - 2017 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Hardware.Info de Persgroep Online Services B.V. Hosting door True

*